iptables+openvpn

[mr_lexus]

Добрый день ! подскажите пожалуйста, в чём причина, уже всё голову поломал, нимогу понять.
Проблема в следующем, есть openvpn и iptables, vpn работает, всё прекрасно, запускаю iptables и вот тут начинается, с сервака вижу сеть за vpn-ом, а с кампов в сети не вижу сеть за vpn-ом. искал в чём глюк, выяснил только то что глюк в цепочке FORWARD, когда её по умолчанию делаешь ACCEPT, всё работает, стоит сделать как и должно быть DROP, всё, кампы в сетке не видят сеть за vpn-ом. =( выкладываю конфиг iptables

(Нажмите, чтобы показать/скрыть)

#!/bin/sh

###############################################################################
#
# Local Settings
#

SYSCTL="/sbin/sysctl -w"

# IPTables Location - adjust if needed

IPT="/sbin/iptables"
IPTS="/sbin/iptables-save"
IPTR="/sbin/iptables-restore"

# Internet Interface
INET_IFACE="vlan40"
INET_ADDRESS="x.x.x.x"

# Local Interface Information
LOCAL_IFACE="vlan30"
LOCAL_IP="10.110.0.254"
LOCAL_NET="10.110.0.0/24"
LOCAL_BCAST="10.110.0.255"

# Localhost Interface
LO_IFACE="lo"
LO_IP="127.0.0.1"

# VPN IGK
VPN_IGK_IF="tun0"
VPN_IGK_IP="x.x.x.x"

# VPN RATM
VPN_RATM_IF="tun1"
VPN_RATM_IP="x.x.x.x"

# VPN SERVER
VPN_SRV_IF="tun2"
VPN_SRV_IP="x.x.x.x"

# VPN ROMZ
VPN_ROMZ_IF="tun3"
VPN_ROMZ_IP="x.x.x.x"

# Save and Restore arguments handled here
if [ "$1" = "save" ]
then
   echo -n "Saving firewall to /etc/sysconfig/iptables ... "
   $IPTS > /etc/sysconfig/iptables
   echo "done"
   exit 0
elif [ "$1" = "restore" ]
then
   echo -n "Restoring firewall from /etc/sysconfig/iptables ... "
   $IPTR < /etc/sysconfig/iptables
   echo "done"
   exit 0
fi

###############################################################################
#
# Load Modules
#

echo "Loading kernel modules ..."

/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc

###############################################################################
#
# Kernel Parameter Configuration
#

if [ "$SYSCTL" = "" ]
then
    echo "1" > /proc/sys/net/ipv4/ip_forward
else
    $SYSCTL net.ipv4.ip_forward="1"
fi

if [ "$SYSCTL" = "" ]
then
    echo "1" > /proc/sys/net/ipv4/tcp_syncookies
else
    $SYSCTL net.ipv4.tcp_syncookies="1"
fi

if [ "$SYSCTL" = "" ]
then
    echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
else
    $SYSCTL net.ipv4.conf.all.rp_filter="1"
fi


if [ "$SYSCTL" = "" ]
then
    echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
else
    $SYSCTL net.ipv4.icmp_echo_ignore_broadcasts="1"
fi

if [ "$SYSCTL" = "" ]
then
    echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
else
    $SYSCTL net.ipv4.conf.all.accept_source_route="0"
fi

if [ "$SYSCTL" = "" ]
then
    echo "1" > /proc/sys/net/ipv4/conf/all/secure_redirects
else
    $SYSCTL net.ipv4.conf.all.secure_redirects="1"
fi

if [ "$SYSCTL" = "" ]
then
    echo "1" > /proc/sys/net/ipv4/conf/all/log_martians
else
    $SYSCTL net.ipv4.conf.all.log_martians="1"
fi


###############################################################################
#
# Flush Any Existing Rules or Chains
#

echo "Flushing Tables ..."

# Reset Default Policies
$IPT -P INPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P POSTROUTING ACCEPT
$IPT -t nat -P OUTPUT ACCEPT
$IPT -t mangle -P PREROUTING ACCEPT
$IPT -t mangle -P OUTPUT ACCEPT

# Flush all rules
$IPT -F
$IPT -t nat -F
$IPT -t mangle -F

# Erase all non-default chains
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

if [ "$1" = "stop" ]
then
   echo "Firewall completely flushed!  Now running with no firewall."
   exit 0
fi

###############################################################################
#
# Rules Configuration
#

###############################################################################
#
# Filter Table
#
###############################################################################

# Set Policies

$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

###############################################################################
#
# User-Specified Chains
#
# Create user chains to reduce the number of rules each packet
# must traverse.

echo "Create and populate custom rule chains ..."

$IPT -N bad_packets
$IPT -N bad_tcp_packets
$IPT -N allowed

$IPT -N icmp_packets

$IPT -N udp_inbound
$IPT -N tcp_inbound

$IPT -N tcp_outbound
$IPT -N udp_outbound
$IPT -N icmp_outbound

###############################################################################
#
# Populate User Chains
#

# bad_packets chain
#

# Drop packets received on the external interface
# claiming a source of the local network
##$IPT -A bad_packets -p ALL -i $INET_IFACE -s $LOCAL_NET -j LOG --log-prefix "fp=bad_packets:2 a=DROP "
##$IPT -A bad_packets -p ALL -i $INET_IFACE -s $LOCAL_NET -j DROP

# Drop INVALID packets immediately
##$IPT -A bad_packets -p ALL -m state --state INVALID -j LOG --log-prefix "fp=bad_packets:1 a=DROP "

##$IPT -A bad_packets -p ALL -m state --state INVALID -j DROP

# Then check the tcp packets for additional problems
##$IPT -A bad_packets -p tcp -j bad_tcp_packets

# All good, so return
##$IPT -A bad_packets -p ALL -j RETURN

# bad_tcp_packets chain
#

$IPT -A bad_tcp_packets -p tcp -i $LOCAL_IFACE -j RETURN
# $IPT -A bad_tcp_packets -p tcp -i $LOCAL_IFACE ! --syn -m state --state NEW -j DROP
$IPT -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "fp=bad_tcp_packets:1 a=DROP "
$IPT -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL NONE -j LOG --log-prefix "fp=bad_tcp_packets:2 a=DROP "
$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL NONE -j DROP
$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL ALL -j LOG --log-prefix "fp=bad_tcp_packets:3 a=DROP "
$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL ALL -j DROP
$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL FIN,URG,PSH -j LOG --log-prefix "fp=bad_tcp_packets:4 a=DROP "
$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j LOG --log-prefix "fp=bad_tcp_packets:5 a=DROP "
$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
$IPT -A bad_tcp_packets -p tcp --tcp-flags SYN,RST SYN,RST -j LOG --log-prefix "fp=bad_tcp_packets:6 a=DROP "
$IPT -A bad_tcp_packets -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$IPT -A bad_tcp_packets -p tcp --tcp-flags SYN,FIN SYN,FIN -j LOG --log-prefix "fp=bad_tcp_packets:7 a=DROP "
$IPT -A bad_tcp_packets -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

# All good, so return
$IPT -A bad_tcp_packets -p tcp -j RETURN

# Allow legal packets only and drop remaining
$IPT -A allowed -p tcp --syn -j ACCEPT
$IPT -A allowed -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A allowed -p tcp -j DROP

# icmp_packets chain
#

$IPT -A icmp_packets --fragment -p ICMP -j LOG --log-prefix "fp=icmp_packets:1 a=DROP "
$IPT -A icmp_packets --fragment -p ICMP -j DROP

$IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j LOG --log-prefix "fp=icmp_packets:2 a=ACCEPT "
$IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
#$IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j DROP

# Time Exceeded
$IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

# Not matched, so return so it will be logged
$IPT -A icmp_packets -p ICMP -j RETURN

# TCP & UDP

# udp_inbound chain
#

$IPT -A udp_inbound -p UDP -s 0/0 --dport 137 -j DROP
$IPT -A udp_inbound -p UDP -s 0/0 --dport 138 -j DROP

# Network Time Protocol (NTP) Server
$IPT -A udp_inbound -p UDP -s 0/0 --dport 123 -j ACCEPT

# DNS Server
$IPT -A udp_inbound -p UDP -s 0/0 --dport 53 -j ACCEPT
# $IPT -A udp_inbound -p UDP -s 0/0 --source-port 53 -j ACCEPT

# VPN
$IPT -A udp_inbound -p udp --dport 1195 -j ACCEPT
$IPT -A udp_inbound -p udp --dport 1196 -j ACCEPT # ROMZ
$IPT -A udp_inbound -p udp --dport 1202 -j ACCEPT
$IPT -A udp_inbound -p udp --dport 11201 -j ACCEPT

# Not matched, so return for logging
$IPT -A udp_inbound -p UDP -j RETURN

# udp_outbound chain
#

# No match, so ACCEPT
$IPT -A udp_outbound -p UDP -s 0/0 -j ACCEPT

# tcp_inbound chain
#

$IPT -A tcp_inbound -p tcp -s 0/0 --dport 21 -j allowed
$IPT -A tcp_inbound -p tcp -s 0/0 --dport 1988 -j allowed
$IPT -A tcp_inbound -p tcp -s 0/0 --dport 25 -j allowed
#$IPT -A tcp_inbound -p tcp -s 0/0 --dport 53 -j allowed
#$IPT -A tcp_inbound -p tcp -s 0/0 --dport 80 -j allowed
$IPT -A tcp_inbound -p tcp -s 0/0 --dport 110 -j allowed
$IPT -A tcp_inbound -p tcp -s 0/0 --dport 143 -j allowed
$IPT -A tcp_inbound -p tcp -s 0/0 --dport 3128 -j allowed

$IPT -A tcp_inbound -p TCP -j RETURN

# tcp_outbound chain
#

$IPT -A tcp_outbound -p tcp -s 0/0 --dport 3274 -j allowed
$IPT -A tcp_outbound -p tcp -s 0/0 --dport 3279 -j allowed
$IPT -A tcp_outbound -p tcp -s 0/0 --dport 3389 -j allowed
$IPT -A tcp_outbound -p tcp -s 0/0 --dport 4899 -j allowed
#$IPT -A tcp_outbound -p tcp -s 0/0 --dport 5000:5100 -j allowed
$IPT -A tcp_outbound -p tcp -s 0/0 --dport 5222 -j allowed
$IPT -A tcp_outbound -p tcp -s 0/0 --dport 8585 -j allowed
$IPT -A tcp_outbound -p tcp -s 0/0 --dport 11758 -j allowed
$IPT -A tcp_outbound -p tcp -s 0/0 --dport 12758 -j allowed
$IPT -A tcp_outbound -p tcp -s 0/0 --dport 5190 -j allowed

# Bank client
$IPT -A tcp_outbound -p tcp -s 0/0 --dport 540 -j allowed # Bank-levoberejniyi
$IPT -A tcp_outbound -p tcp -s 0/0 --dport 12345 -d 194.85.126.239 -j allowed

# No match, so ACCEPT
$IPT -A tcp_outbound -p TCP -s 0/0 -j RETURN

#icmp
$IPT -A icmp_outbound -p icmp --icmp-type 8 -j ACCEPT

###############################################################################
#
# INPUT Chain
#

echo "Process INPUT chain ..."

# Allow all on localhost interface
$IPT -A INPUT -p ALL -i $LO_IFACE -j ACCEPT

# Accept packets from lo with one of our IPs
$IPT -A INPUT -i $LO_IFACE -s $VPN_IGK_IP -j ACCEPT
$IPT -A INPUT -i $LO_IFACE -s $VPN_RATM_IP -j ACCEPT
$IPT -A INPUT -i $LO_IFACE -s $VPN_SRV_IP -j ACCEPT
$IPT -A INPUT -i $LO_IFACE -s $VPN_ROMZ_IP -j ACCEPT

# rules for incoming packets from VPN
$IPT -A INPUT -i $VPN_IGK_IF -j ACCEPT
$IPT -A INPUT -i $VPN_RATM_IF -j ACCEPT
$IPT -A INPUT -i $VPN_ROMZ_IF -j ACCEPT
$IPT -A INPUT -i $VPN_SRV_IF -j ACCEPT

# Drop bad packets
$IPT -A INPUT -p ALL -j bad_packets

$IPT -A INPUT -p ALL -d 224.0.0.1 -j DROP
# The rule to accept the packets.
# $IPT -A INPUT -p ALL -d 224.0.0.1 -j ACCEPT

# Rules for the private network (accessing gateway system itself)
$IPT -A INPUT -p ALL -i $LOCAL_IFACE -s $LOCAL_NET -j ACCEPT
$IPT -A INPUT -p ALL -i $LOCAL_IFACE -d $LOCAL_BCAST -j ACCEPT


# Inbound Internet Packet Rules

# Accept Established Connections
$IPT -A INPUT -p ALL -i $INET_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT

# Route the rest to the appropriate user chain
$IPT -A INPUT -p TCP -i $INET_IFACE -j tcp_inbound
$IPT -A INPUT -p UDP -i $INET_IFACE -j udp_inbound
$IPT -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets

$IPT -A INPUT -m pkttype --pkt-type broadcast -j DROP

# Log packets that still don't match
$IPT -A INPUT -j LOG --log-prefix "fp=INPUT:99 a=DROP "

###############################################################################
#
# FORWARD Chain
#

echo "Process FORWARD chain ..."

# Drop bad packets
$IPT -A FORWARD -p tcp -j bad_packets

# NO PROXY
#Goncharov
$IPT -A FORWARD -i $LOCAL_IFACE -o $INET_IFACE -s 10.110.0.48 -j ACCEPT
#Malyavin
$IPT -A FORWARD -i $LOCAL_IFACE -o $INET_IFACE -s 10.110.0.87 -j ACCEPT
#Belyaev
$IPT -A FORWARD -i $LOCAL_IFACE -o $INET_IFACE -s 10.110.0.34 -j ACCEPT

# Accept TCP packets we want to forward from internal sources
$IPT -A FORWARD -p tcp -i $LOCAL_IFACE -j tcp_outbound

# Accept UDP packets we want to forward from internal sources
$IPT -A FORWARD -p udp -i $LOCAL_IFACE -j udp_outbound

# If not blocked, accept any other packets from the internal interface
$IPT -A FORWARD -p icmp -i $LOCAL_IFACE -j icmp_outbound

# Deal with responses from the internet
$IPT -A FORWARD -i $INET_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT

# Log packets that still don't match
$IPT -A FORWARD -j LOG --log-prefix "fp=FORWARD:99 a=DROP "

# Traffic from LAN to ROMZ
$IPT -A FORWARD -i $LOCAL_IFACE -o $VPN_ROMZ_IF -j ACCEPT
$IPT -A FORWARD -i $VPN_ROMZ_IF -o $LOCAL_IFACE -d 10.110.0.2 -j ACCEPT


# Traffic from LAN to IGK (internal client)
$IPT -A FORWARD -i $LOCAL_IFACE -o $VPN_IGK_IF -j ACCEPT
$IPT -A FORWARD -i $VPN_IGK_IF -o $LOCAL_IFACE -d 10.110.0.1 -j ACCEPT
$IPT -A FORWARD -i $VPN_IGK_IF -o $LOCAL_IFACE -d 10.110.0.100 -j ACCEPT

# Traffic from RATM to LAN (10.110.0.1)
$IPT -A FORWARD -i $VPN_RATM_IF -o $LOCAL_IFACE -d 10.110.0.1 -j ACCEPT

# Traffic from external client to LAN
$IPT -A FORWARD -i $VPN_SRV_IF -o $LOCAL_IFACE -d 10.110.0.1 -j ACCEPT
$IPT -A FORWARD -i $VPN_SRV_IF -o $LOCAL_IFACE -d 10.110.0.100 -j ACCEPT
$IPT -A FORWARD -i $VPN_SRV_IF -o $LOCAL_IFACE -d 10.110.0.200 -j ACCEPT
$IPT -A FORWARD -i $LOCAL_IFACE -o $VPN_SRV_IF -j ACCEPT

###############################################################################
#
# OUTPUT Chain
#

echo "Process OUTPUT chain ..."

$IPT -A OUTPUT -m state -p icmp --state INVALID -j DROP

# Localhost
$IPT -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPT -A OUTPUT -p ALL -o $LO_IFACE -j ACCEPT

# VPN
$IPT -A OUTPUT -s $VPN_IGK_IP -j ACCEPT
$IPT -A OUTPUT -s $VPN_RATM_IP -j ACCEPT
$IPT -A OUTPUT -s $VPN_SRV_IP -j ACCEPT
$IPT -A OUTPUT -s $VPN_ROMZ_IP -j ACCEPT

# To internal network
$IPT -A OUTPUT -p ALL -s $LOCAL_IP -j ACCEPT
$IPT -A OUTPUT -p ALL -o $LOCAL_IFACE -j ACCEPT

# To internet
$IPT -A OUTPUT -p ALL -o $INET_IFACE -j ACCEPT

# Log packets that still don't match
$IPT -A OUTPUT -j LOG --log-prefix "fp=OUTPUT:99 a=DROP "

###############################################################################
#
# nat table
#
###############################################################################

echo "Load rules for nat table ..."

###############################################################################
#
# PREROUTING chain
#


# Redirect HTTP for a transparent proxy
# $IPT -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128
# Redirect HTTPS for a transparent proxy - commented by default
# $IPT -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 3128

###############################################################################
#
# POSTROUTING chain
#

$IPT -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_ADDRESS

###############################################################################
#
# mangle table
#
###############################################################################

echo "Load rules for mangle table ..."

[podkovyrsty]

Таки это не конфиг iptables, это скрипт для конфигурирования.
Дай iptables-save пожалуйста.

[mr_lexus]

Вот

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Mon Apr  5 14:11:09 2010
*mangle
:PREROUTING ACCEPT [1327088:897552922]
:INPUT ACCEPT [1730256:1273551057]
:FORWARD ACCEPT [1019078:599703844]
:OUTPUT ACCEPT [970438:681525041]
:POSTROUTING ACCEPT [2907956:2010042305]
COMMIT
# Completed on Mon Apr  5 14:11:09 2010
# Generated by iptables-save v1.4.4 on Mon Apr  5 14:11:09 2010
*nat
:PREROUTING ACCEPT [33686:2677324]
:POSTROUTING ACCEPT [487:29586]
:OUTPUT ACCEPT [14841:908605]
-A POSTROUTING -o vlan40 -j SNAT --to-source <внешний_ип>
COMMIT
# Completed on Mon Apr  5 14:11:09 2010
# Generated by iptables-save v1.4.4 on Mon Apr  5 14:11:09 2010
*filter
:INPUT DROP [3474:473080]
:FORWARD ACCEPT [69957:10084825]
:OUTPUT DROP [8:1420]
:allowed - [0:0]
:bad_packets - [0:0]
:bad_tcp_packets - [0:0]
:icmp_outbound - [0:0]
:icmp_packets - [0:0]
:tcp_inbound - [0:0]
:tcp_outbound - [0:0]
:udp_inbound - [0:0]
:udp_outbound - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -s 172.17.48.1/32 -i lo -j ACCEPT
-A INPUT -s 172.17.46.1/32 -i lo -j ACCEPT
-A INPUT -s 10.109.0.1/32 -i lo -j ACCEPT
-A INPUT -s 10.109.1.2/32 -i lo -j ACCEPT
-A INPUT -i tun0 -j ACCEPT
-A INPUT -i tun1 -j ACCEPT
-A INPUT -i tun3 -j ACCEPT
-A INPUT -i tun2 -j ACCEPT
-A INPUT -j bad_packets
-A INPUT -d 224.0.0.1/32 -j DROP
-A INPUT -s 10.110.0.0/24 -i vlan30 -j ACCEPT
-A INPUT -d 10.110.0.255/32 -i vlan30 -j ACCEPT
-A INPUT -i vlan40 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i vlan40 -p tcp -j tcp_inbound
-A INPUT -i vlan40 -p udp -j udp_inbound
-A INPUT -i vlan40 -p icmp -j icmp_packets
-A INPUT -m pkttype --pkt-type broadcast -j DROP
-A INPUT -j LOG --log-prefix "fp=INPUT:99 a=DROP "
-A FORWARD -p tcp -j bad_packets
-A FORWARD -s 10.110.0.48/32 -i vlan30 -o vlan40 -j ACCEPT
-A FORWARD -s 10.110.0.87/32 -i vlan30 -o vlan40 -j ACCEPT
-A FORWARD -s 10.110.0.34/32 -i vlan30 -o vlan40 -j ACCEPT
-A FORWARD -i vlan30 -p tcp -j tcp_outbound
-A FORWARD -i vlan30 -p udp -j udp_outbound
-A FORWARD -i vlan30 -p icmp -j icmp_outbound
-A FORWARD -i vlan40 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j LOG --log-prefix "fp=FORWARD:99 a=DROP "
-A FORWARD -i vlan30 -o tun3 -j ACCEPT
-A FORWARD -d 10.110.0.2/32 -i tun3 -o vlan30 -j ACCEPT
-A FORWARD -i vlan30 -o tun0 -j ACCEPT
-A FORWARD -d 10.110.0.1/32 -i tun0 -o vlan30 -j ACCEPT
-A FORWARD -d 10.110.0.100/32 -i tun0 -o vlan30 -j ACCEPT
-A FORWARD -d 10.110.0.1/32 -i tun1 -o vlan30 -j ACCEPT
-A FORWARD -d 10.110.0.1/32 -i tun2 -o vlan30 -j ACCEPT
-A FORWARD -d 10.110.0.100/32 -i tun2 -o vlan30 -j ACCEPT
-A FORWARD -d 10.110.0.200/32 -i tun2 -o vlan30 -j ACCEPT
-A FORWARD -d 10.110.0.150/32 -i tun2 -o vlan30 -j ACCEPT
-A FORWARD -d 10.110.0.151/32 -i tun2 -o vlan30 -j ACCEPT
-A FORWARD -i vlan30 -o tun2 -j ACCEPT
-A OUTPUT -p icmp -m state --state INVALID -j DROP
-A OUTPUT -s 127.0.0.1/32 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -s 172.17.48.1/32 -j ACCEPT
-A OUTPUT -s 172.17.46.1/32 -j ACCEPT
-A OUTPUT -s 10.109.0.1/32 -j ACCEPT
-A OUTPUT -s 10.109.1.2/32 -j ACCEPT
-A OUTPUT -s 10.110.0.254/32 -j ACCEPT
-A OUTPUT -o vlan30 -j ACCEPT
-A OUTPUT -o vlan40 -j ACCEPT
-A OUTPUT -j LOG --log-prefix "fp=OUTPUT:99 a=DROP "
-A allowed -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A allowed -p tcp -j DROP
-A bad_tcp_packets -i vlan30 -p tcp -j RETURN
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "fp=bad_tcp_packets:1 a=DROP "
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOG --log-prefix "fp=bad_tcp_packets:2 a=DROP "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j LOG --log-prefix "fp=bad_tcp_packets:3 a=DROP "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j LOG --log-prefix "fp=bad_tcp_packets:4 a=DROP "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j LOG --log-prefix "fp=bad_tcp_packets:5 a=DROP "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j LOG --log-prefix "fp=bad_tcp_packets:6 a=DROP "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j LOG --log-prefix "fp=bad_tcp_packets:7 a=DROP "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A bad_tcp_packets -p tcp -j RETURN
-A icmp_outbound -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -f -j LOG --log-prefix "fp=icmp_packets:1 a=DROP "
-A icmp_packets -p icmp -f -j DROP
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j LOG --log-prefix "fp=icmp_packets:2 a=ACCEPT "
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A icmp_packets -p icmp -j RETURN
-A tcp_inbound -p tcp -m tcp --dport 21 -j allowed
-A tcp_inbound -p tcp -m tcp --dport 1988 -j allowed
-A tcp_inbound -p tcp -m tcp --dport 25 -j allowed
-A tcp_inbound -p tcp -m tcp --dport 110 -j allowed
-A tcp_inbound -p tcp -m tcp --dport 143 -j allowed
-A tcp_inbound -p tcp -m tcp --dport 3128 -j allowed
-A tcp_inbound -p tcp -j RETURN
-A tcp_outbound -p tcp -m tcp --dport 3274 -j allowed
-A tcp_outbound -p tcp -m tcp --dport 3279 -j allowed
-A tcp_outbound -p tcp -m tcp --dport 3389 -j allowed
-A tcp_outbound -p tcp -m tcp --dport 4899 -j allowed
-A tcp_outbound -p tcp -m tcp --dport 5222 -j allowed
-A tcp_outbound -p tcp -m tcp --dport 8585 -j allowed
-A tcp_outbound -p tcp -m tcp --dport 11758 -j allowed
-A tcp_outbound -p tcp -m tcp --dport 12758 -j allowed
-A tcp_outbound -p tcp -m tcp --dport 5190 -j allowed
-A tcp_outbound -p tcp -m tcp --dport 540 -j allowed
-A tcp_outbound -d 194.85.126.239/32 -p tcp -m tcp --dport 12345 -j allowed
-A tcp_outbound -p tcp -j RETURN
-A udp_inbound -p udp -m udp --dport 137 -j DROP
-A udp_inbound -p udp -m udp --dport 138 -j DROP
-A udp_inbound -p udp -m udp --dport 123 -j ACCEPT
-A udp_inbound -p udp -m udp --dport 53 -j ACCEPT
-A udp_inbound -p udp -m udp --dport 1195 -j ACCEPT
-A udp_inbound -p udp -m udp --dport 1196 -j ACCEPT
-A udp_inbound -p udp -m udp --dport 1202 -j ACCEPT
-A udp_inbound -p udp -m udp --dport 11201 -j ACCEPT
-A udp_inbound -p udp -j RETURN
-A udp_outbound -p udp -j ACCEPT
COMMIT
# Completed on Mon Apr  5 14:11:09 2010

[podkovyrsty]

А что подразумевается под фразой "не видят".

[mr_lexus]

то и подразумевается ))) моя сеть не видит компьютеры которые в другой конторе, которая подключена через Openvpn. как только политику в цепочке FORWARD ставишь ACCEPT, то всё работает, но это не правильно, должно стоять DROP, но токогда кампы не видятся.

[podkovyrsty]

Ну, для меня, "не видят" - это может быть отсутствие пинга, может отсутствие доступа по определенному порту ...

[mr_lexus]

ну вот, я тебе объяснил ))) ни по rdp ни пинги не проходят вот и сижу голову ломаю в чём прикол...есть какие нибудь соображения ? ))

[podkovyrsty]

Если пинги не проходят - нет разрешения на про ход ICMP траффика типа 0 и 8
-----\\---- rdp -----\\-----      - нет разрешения на tcp траффик на порт 3389

[mr_lexus]

да я вроде не дурак )) понимаю это )) но дело та втом что есть правило
A FORWARD -i vlan30 -o tun0 -j ACCEPT
насколько я понимаю это правило пересылает все пакеты с локального интерфейса на интерфейс vpn =)

[podkovyrsty]

Угук, разрешает пересылку, но перед ним еще стопка

-A FORWARD -p tcp -j bad_packets
-A FORWARD -s 10.110.0.48/32 -i vlan30 -o vlan40 -j ACCEPT
-A FORWARD -s 10.110.0.87/32 -i vlan30 -o vlan40 -j ACCEPT
-A FORWARD -s 10.110.0.34/32 -i vlan30 -o vlan40 -j ACCEPT
-A FORWARD -i vlan30 -p tcp -j tcp_outbound
-A FORWARD -i vlan30 -p udp -j udp_outbound
-A FORWARD -i vlan30 -p icmp -j icmp_outbound
-A FORWARD -i vlan40 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j LOG --log-prefix "fp=FORWARD:99 a=DROP "
-A FORWARD -i vlan30 -o tun3 -j ACCEPT
-A FORWARD -d 10.110.0.2/32 -i tun3 -o vlan30 -j ACCEPT

Выделенные зеленым могут на нее (пересылку) влиять, вот только мне пока непонятно, какая этим правилам разница на дефолтную политику.

Точно только политка меняется?
Тоесть выполняешь iptables -P FORWARD ACCEPT - все работает
выполняешь -P FORWARD DROP не работает

Или ты скрипт запускаешь каждый раз?

[mr_lexus]

Да, я в скрипе политику меняю на ACCEPT, работает, ставлю DROP, всё, перестаёт

[podkovyrsty]

Ну так давай возьмем, например, rdp

правило которое его цепляет это -A FORWARD -p tcp -j bad_packets, но bad_packets пуста, поэтому идем дальше, а дальше он попадает в -A FORWARD -i vlan30 -p tcp -j tcp_outbound, смотрим tcp_outbound и видим -A tcp_outbound -p tcp -m tcp --dport 3389 -j allowed, смотрим allowed ... смотрим ...  -A allowed -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT, тоесть

пакет SYN вроде как ушел, теперь ждем ответ, это forward -i tun0:
-A FORWARD -d 10.110.0.1/32 -i tun0 -o vlan30 -j ACCEPT
-A FORWARD -d 10.110.0.100/32 -i tun0 -o vlan30 -j ACCEPT
тоесть ответ вернется только к 10.110.0.1 и 10.110.0.100, а остальные уйдут в дроп, потому что больше правил в форварде нет, дай угадаю, ты ведь не с этих 2-х компов пытался коннектиться?

[mr_lexus]

нет ))

[podkovyrsty]

Ну вот и решение, с пингом та же картина.

[mr_lexus]

Ты мой спаситель ! 
щас поправил скрипт, убрал оттуда -d 10.110.0.1 и всё, пошло, поехало ) Ещё раз огромное спасибо